Новий регламент ЄС про персональні дані. Що несе для України?

Інтернет з’явився не вчора. Веб-сторінки з’явилися не вчора. І про електронну пошту ми почули теж не кілька днів тому. Так, інформаційні технологій давно стали невід’ємною частиною нашого повсякденного життя. Сучасні суспільні відносини характеризуються настільки широким використанням персональних даних під час обігу інформації, товарів, послуг і капіталів, що їх поширення стає схожим на неконтрольований процес. Відтак, питання захисту персональних даних стояло завжди. Право на захист персональних даних та конфіденційність є старим основоположним правом людини, яке закріплене в нормативно-правових актах, починаючи Конституцією України та завершуючи міжнародним законодавством, як от Європейська Конвенція про захист прав і основних свобод людини, Міжнародний пакт про громадянські та політичні права, Директива 95/46/ЄС Європейського Парламенту і Ради «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» (далі Директива). Чому ж питання захисту цього права сьогодні актуально як ніколи? Чому ми вирішили підняти це питання саме зараз?

GDPR – нові Європейські тенденції

25 травня цього року вступить в дію EU General Data Protection Regulation (GDPR)/ Загальний регламент по захисту даних (далі — Регламент) – новий Регламент про персональні дані, прийнятий Радою Європи ще в 2016 році, якому прогнозують зіграти визначальну роль у майбутній світовій практиці щодо захисту персональних даних. Даний документ прийде на зміну Директиві, що діє на даний час.

Ключовою різницею між двома документами є те, що Директива для належного її впровадження та виконання передбачає необхідність імплементації її положень до національних законодавств країн-членів ЄС. Натомість, норми Регламенту є нормами прямої дії, тобто, є загальнообов’язковими без необхідності їх імплементації до національного законодавства кожної країни-учасниці.

Предметом регулювання GDPR є персональні дані – інформація, що стосується особи, за якою її прямо чи опосередковано можна ідентифікувати. Варто зауважити, що Регламент до персональних даних відносить ІР-адреси або, навіть, філософські й політичні погляди, не кажучи вже про традиційні для України персональні дані, такі як паспортні дані, сімейний стан, освіта тощо.

На кого поширюється дія Регламенту

Alt-новый регламент про персональні данні

Як уже було сказано вище, Регламент має екстериторіальний характер. Але варто брати його до уваги українському бізнесу? Відповідь – так.

Якщо суб’єкти господарювання, які не зареєстровані на території ЄС, але здійснюють діяльність на території Європейського Союзу (далі — ЄС) або ж в процесі здійснення своєї діяльності прямо або опосередковано отримують доступ до персональних даних громадян ЄС або осіб, що знаходяться на території ЄС, то в такому випадку до них застосовуються ті ж самі вимоги GDPR, як і до всіх інших суб’єктів, які підпадають під дію Регламенту.

Найбільше нові вимоги торкнуться компаній, що мають клієнтів з ЄС або постачають товари/послуги в ЄС. Це можуть бути IT-компанії, туристичні агентства, дизайнерські фірми тощо.

Треба сказати, що Регламент розповсюджується на два види суб’єктів, на «контролерів» та «обробників». Перші – це фізичні чи юридичні особи, які самостійно або спільно з іншими визначають цілі та засоби обробки персональних даних. Другі – фізичні або юридичні особи, які обробляють персональні дані від імені та за дорученням контролера. Контролером, наприклад, є банк, який збирає персональні дані своїх клієнтів, коли вони відкривають рахунки, тоді як обробляти ці дані може інша організація.

Що нового несе Регламент?

Регламент передбачає необхідність посилення приватності. Окрім стандартного найвищого рівня приватності за замовчуванням, у перспективі може бути необхідним збирання згоди суб’єкта на обробку кожного окремого пункту інформації, який він вводить. Зокрема, особи мають наступні права:

 • на доступ до персональних даних і їх експорт;
 • на видалення персональних даних (цього правила можна не дотримуватися, якщо інформація необхідна для реалізації права на інформацію, виконання норм чинного законодавства, забезпечення громадського здоров’я, наукової, історичної чи статистичної мети, вирішення правових спорів);
 • на виправлення помилок у персональних даних;
 • на заборону обробки персональних даних.

Регламент містить безліч положень, що змушуватимуть компанії, які працюють в межах ЄС, здійснювати цілі комплекси дій щодо прозорості збирання, обробки та використання персональних даних. Так, компанії та організації повинні впровадити політики, які:

 • забезпечують чітке сповіщення про збір персональних даних (згода особи, про яку збирається інформація, повинна бути відкритою, явно вираженою та незавуальованою, наприклад, може виражатися проставлянням галочки біля кожного пункту персональних даних, які запрошуються);
 • визначають, для чого та коли обробляються персональні дані;
 • регламентують політики зберігання та видалення даних.
Alt-персональные данные
З Регламенту випливає, що контролери та обробники повинні забезпечувати найвищий можливий для них рівень захисту інформації, в тому числі впроваджувати належні технічні та організаційні заходи для забезпечення високого рівня безпеки інформації. Іншими словами мати інструменти захисту та сповіщень. Так, компанії та організації зобов’язані:
 • вживати належних заходів для захисту персональних даних;
 • сповіщати органи влади про несанкціонований доступ до персональних даних;
 • отримувати згоду на збір і обробку персональних даних;
 • вести облік дій з обробки даних.
І, насамкінець, для належного виконання положень Регламенту суб’єктам, на які він поширюється, потрібні IT і навчання. У зв’язку з цим компаніям і організаціям необхідно:
 • навчити працівників передовим методам захисту конфіденційності та персональних даних;
 • проводити аудит політик стосовно даних і оновлювати їх;
 • за потреби найняти розпорядника персональних даних;
 • складати й адмініструвати відповідні угоди з постачальниками.
Alt-dpo

Окремо хочеться звернути увагу на таке нововведення, як необхідність запровадження нової посади в компанії – Data Protection Officer. Мова йде про обов’язкове призначення відповідального за захист персональних даних працівника всіма компаніями, що мають справу зі значним обсягом персональних даних або зі «спеціальними» категоріями таких даних. Він може виконувати свої обов’язки як за трудовим договором, так і на підставі цивільно-правової угоди.

Завданням Data Protection Officer є допомога у виконанні всіх вимог законодавства у сфері охорони персональних даних (він проводить навчання серед працівників, контролює відповідність діяльності компанії певним стандартам, надає консультації з фахових питань). Також він може бути представником компанії перед органами, уповноваженими у сфері персональних даних.

Окрім того, згідно з новими правилами, якщо ваша компанія підпадає під дію GDPR і розташована не в ЄС, необхідною є наявність офіційного представника компанії в ЄС. Представник повинен бути призначений як контактна особа з усіх питань охорони персональних даних громадян ЄС для уповноважених органів влади. Це може бути як фізична, так і юридична особа.

Виняток із цього правила встановлюється у таких випадках: якщо обробка даних не є постійною; якщо персональні дані, що обробляються, не належать до «спеціальних» категорій (генетичні, біометричні дані), стосуються кримінальних проваджень чи обвинувачень; якщо характер даних свідчить про неможливість значного порушення прав особи у разі їх витоку.

Що слід робити, щоб відповідати вимогам Регламенту?

Перш за все, потрібно визначити чи дійсно ваша компанія підпадає під дію Регламенту. Якщо так, то не можна зволікати, адже дата, коли нові норми наберуть чинності вже скоро. Уже сьогодні потрібно почати процес адаптації бізнесу до положень Регламенту.

 • Для того, щоб відповідати вимогам GDPR, компанія повинна перевірити та вдосконалити договори, розроблені всередині компанії (трудові чи цивільно-правові), а також з третіми особами чи партнерами, враховуючи законодавство ЄС.
 • Також треба оновити політику конфіденційності, розміщену на веб-сторінках. Тут важливим є той момент, щоб цей документи містив чітку інформацію про те, що ви надаєте можливість переглядати, змінювати та видаляти персональні дані. Коли користувачі видаляють свої дані, вони також мають бути видалені у всіх, кому ви їх передавали чи хто мав до них доступ.
 • Проаналізувати та вдосконалити правила користуванням сайтом (Terms of use), особа повинна знати мету обробки персональних даних вже на етапі її збору.
 • Ви маєте отримувати від інших чітку згоду на збір інформації. Великим плюсом для вашої компанії буде можливість фіксації, коли та за яких умов ця згода була отримана.
 • Призначення співробітника, який буде займатися захистом даних, запобігаючи конфліктам інтересів.
 • І головне, вищеперераховані рекомендації мають бути не просто закріплені в тому чи іншому документі, виражені в тексті, а реально працювати. Наприклад, особа, яка надала свої персональні дані повинна мати технічну можливість переглядати/змінювати/видаляти такі дані.

Відповідальність

Alt-штраф за отсутствие gdpr

Що стосується відповідальності за порушення норм даного Регламенту, то вона невелика-немаленька – від штрафу у розмірі до 20 млн євро або 4% від щорічного світового обігу компанії (контролера або обробника) до кримінальної відповідальності (залежно від національного законодавства), а також шкоди репутації.  Регламент, наприклад, встановлює, що порушення вимоги про призначення Data Protection Officer може тягнути за собою відповідальність у вигляді штрафу до 10 млн євро або 2% від річного світового обігу компанії.

У коментарях до Регламенту зазначено, що замість штрафу може бути винесена догана у випадках, коли вчинене правопорушення є незначним, або накладений штраф буде надмірний (непорівнянний з порушенням). Повноваження щодо визначення конкретних сум штрафів надані національним органам влади держав-членів ЄС.

Зрозуміло, що для ефективного регулювання тих чи інших суспільних відносин наявності норм права замало, потрібно ще мати механізм реалізації цих норм. Поки що відповідного порядку/механізму в Україні немає.

Висновки:

Отже, новий міжнародний нормативно-правовий акт з нормами прямої дії, що регулює захист персональних даних поширюється на компанії-нерезиденти ЄС, у тому числі українські, у таких випадках:

 1. компанія має працівників з ЄС;
 2. компанія проводить маркетингові чи інші дослідження суб’єктів ринку у ЄС;
 3. компанія здійснює діяльність (постачає товари / виконує роботи / надає послуги) громадянам ЄС;
 4. компанія використовує інформацію громадян ЄС у своїх власних продуктах.

Не зважаючи на те, що механізму застосування відповідальності за недотримання вимог Регламенту в Україні ще немає, і швидше за все, практика з’явиться не скоро, рекомендуємо проаналізувати стан справ з персональними даними як клієнтів, так і працівників, оскільки відповідальність може мати серйозні матеріальні наслідки.

Написати нам

  (pdf, doc, docx, rtf, ppt, pptx)

  Я ознайомився/лась та погоджуюсь з умовами Політики Конфіденційності Olans Group